Os desenvolvedores de malware estão cada vez mais utilizando linguagens de programação “exóticas”, como Go, Rust, DLang e Nim, para criar códigos maliciosos que podem evitar a detecção de segurança por ferramentas e adicionar uma camada de ocultação de ataque, de acordo com um relatório divulgado pela BlackBerry.
Os pesquisadores da empresa descobriram que os desenvolvedores de malware estão criando uma nova gama de carregadores e droppers (programas maliciosos projetados para introduzir outro malware em dispositivos) usando essas quatro linguagens para fornecer ou disfarçar cavalos de Troia (trojans) de acesso remoto, ou RATs (Remote Access Trojan), bem como versões maliciosas de ferramentas legítimas, como Cobalt Strike, para vítimas potenciais, diz o relatório.
Ainda segundo o documento, em muitos casos, os operadores de ameaças estão recorrendo a essas linguagens para evitar a detecção e ocultar um ataque. “Cada uma dessas linguagens é relativamente nova e tem poucas ferramentas de análise totalmente suportadas”, observam os pesquisadores da BlackBerry.
O relatório também observa que malwares mais antigos escritos em linguagens tradicionais como C ++ e C # estão ganhando espaço com droppers e carregadores escritos em linguagens exóticas. Normalmente, o malware mais antigo é armazenado de forma criptografada no primeiro estágio, usando XOR, RC4, AES ou outros métodos de criptografia e codificação.
Em vez de reescrever ou recompilar malware mais antigo, mas ainda eficaz, os invasores agora estão “embrulhando” esse código malicioso em um dropper ou carregador escrito em uma das linguagens mais recentes, que pode então infiltrar o malware em dispositivos ou redes vulneráveis, evitando a detecção por vários sistemas de segurança ferramentas, observam os pesquisadores da BlackBerry.
Veja isso
Descoberto ransomware avançado baseado em linguagem Java
Python é a linguagem preferida nos ataques
O relatório observa que, embora os ataques estejam adotando cada vez mais linguagens como Rust e DLang, a maioria das ferramentas maliciosas que os pesquisadores examinaram foram escritas em Go, linguagem de código aberto originalmente desenvolvida pelo Google e lançada oficialmente para desenvolvedores em 2012.
Os desenvolvedores, assim como os cibercriminosos, têm recorrido ao Go, também conhecido como Golang, por causa de sua facilidade de uso, confiabilidade e eficiência, de acordo com o relatório. “A linguagem Go pode ser compilada para todos os principais sistemas operacionais, bem como Android, JavaScript e WebAssembly”, observam os pesquisadores. “Os engenheiros de software e os autores de malware migraram para essa linguagem, não apenas por razões estilísticas. O apoio do Google ao projeto também aumentou sua popularidade, bem como o número de bibliotecas que foram disponibilizadas.”
Entre os malwares desenvolvidos com Go estão o ElectroRAT, um RAT projetado para roubar criptomoedas de carteiras digitais, e Ekans, ou Snake, um tipo de ransomware que pode atacar redes de TI, bem como sistemas de controle industrial, de acordo com pesquisadores.
Alguns grupos estão usando linguagens de programação mais recentes como parte de um esforço para esconder melhor seus ataques. Por exemplo, um grupo de ameaças conhecido como TA800 usou a linguagem Nim para criar um carregador chamado NimzaLoader, que normalmente é entregue às vítimas em um e-mail de phishing que contém um anexo malicioso, observa o relatório. Depois de instalado, o NimzaLoader se conecta a um servidor de comando e controle e tenta entregar malware secundário, como Cobalt Strike.
